در این بخش به بررسی چگونگی عملکرد نرم افزار Symantec EDR در بستر شبکه شرکت می پردازیم:
در فوریه 2014، موسسه ملی استاندارد و فناوری وزارت بازرگانی (NIST) چارچوبی را برای بهبود امنیت سایبری زیرساختهای حیاتی ایجاد کرد.
این چارچوب برای کمک به سازمانها در برنامه ریزی و رفع تهدیدهای امنیت سایبری طراحی شده است.
توابع اصلی امنیت سایبری توضیح میدهد که چگونه Symantec Detection and Response (EDR) میتواند به سازمان شما در زمینه آمادگی، شناسایی و پاسخگویی به امنیت سایبری کمک کند.
مولفههای اصلی امنیت سایبری در Symantec EDR
Identify
با کمک نرم افزار امنیت سیمانتک EDR ارزیابی سازمان خود را برای شناسایی خطرات احتمالی و اهداف امنیتی انجام دهید. استراتژی مدیریت ریسک را بر اساس نیازهای تجاری خود تدوین کنید.
Protect
نقطه کنترل شبکه Symantec EDR جریان دادههای ورودی را هنگام حرکت از طریق شبکه تجزیه و تحلیل میکند که از این اطلاعات برای ایجاد رویدادها و ایجاد حوادث برای کمک به شما در یافتن تهدیدات احتمالی در محیط استفاده میکند.
وقتی این نرم افزار را پیکربندی میکنید، دسترسی به فایلها و رایانههای خارجی را که تشخیص میدهد مخرب است، مسدود میکند.
از طریق پالیسیهای لیست سیاه و سفید میتوانید فایلها و وبسایتهایی که Symantec EDR مسدود میکند یا نه، را بیشتر کنترل کنید.
Detect
وقتی نقطه کنترل شبکه Symantec EDR را با SEP و Email Security.cloud ادغام میکنید، سرویس ابری Synapse میتواند وقایع مربوط به هر محصول را با هم مرتبط کند و به شما یک تصویر جامع از تهدیدات شبکه، نقاط انتهایی و سیستم ایمیل شما بدهد.
Symantec Endpoint Detection and Response (EDR) تهدیدهایی را نشان میدهد که در داشبورد و در Incident Manager شناسایی میکند.
همچنین میتوانید تمام وقایعی را که بطور مزمن در سازمان شما اتفاق افتاده مشاهده کنید.
از این راه حل برای جستجوی شاخصهای سازش (IOC) و یافتن مصنوعات استفاده کنید که میتواند این موارد را در دیتابیس Symantec Endpoint Detection and Response و در نقاط پایانی شما جستجو کند.
اگر ضبط کننده فعالیت نقطه پایانی را فعال کنید، میتواند در ضبط کننده فعالیت نقطه پایانی نیز جستجو کند.
همچنین این راهکار میتواند هنگام ایجاد حوادث، بطور خودکار اعلانها را برای شما ارسال کند. همچنین میتواند رویدادها را به syslog وارد کند تا بتوانید آنها را در سیستم اطلاعات امنیتی و مدیریت رویدادها (SIEM) خود وارد کنید.
Response
قابلیت مهار و اصلاح یک کلیک را فراهم میکند که در نقاط کنترل، شبکه و ایمیل کار میکند. بعنوان مثال، میتوانید یک فایل مخرب را از یک نقطه انتهایی حذف کنید یا یک نقطه پایان شکسته را جدا کنید.
Recover
پس از مهار تهدید، برای تجزیه و تحلیل چگونگی وقوع تخلف و جلوگیری از نقض مشابه در آینده، این روشها را دنبال کنید.
همچنین میتوانید گزارشهایی را اجرا کنید که برای تجزیه و تحلیل تعداد و انواع حملاتی که در محیط شما رخ داده مفید است.
نرم افزار Symantec EDR چگونه کار میکند؟
راهکار Symantec Endpoint Detection & Response (EDR) برای تشخیص حملات هدفمند مانند تشخیص نقض، کنترل سیستم، حرکت بعدی و کنترل کردن PowerShell، از تشخیص پیشرفته حمله در نقطه انتهایی و تجزیه و تحلیل مبتنی بر ابر استفاده میکند.
نرم افزار Symantec EDR با اولویت بندی حوادث ناشی از خطر، بهرهوری محقق را افزایش میدهد.
وظایف اصلی سیستم امنیتی EDR عبارتند از: نظارت و جمع آوری دادههای فعالیت از نقاط انتهایی که میتوانند تهدید را نشان دهند.
برای شناسایی الگوهای تهدید، این دادهها را تجزیه و تحلیل کنید. بطور خودکار به تهدیدهای شناسایی شده برای حذف یا مهار آنها پاسخ دهید و به پرسنل امنیتی اطلاع دهید.
ابزارهای تشخیص و پاسخ نقطه پایانی با نظارت بر رویدادهای نقطه پایانی و شبکه و ضبط اطلاعات در یک پایگاه داده مرکزی که در آن تجزیه و تحلیل، شناسایی، تحقیق، گزارش و هشدار بیشتر انجام میشود.
در مجموع نرم افزار Symantec Endpoint Detection and Response بصورت زیر، تهدیدات را شناسایی نموده و پاسخ میدهد:
- به کمک sandboxing پیشرفته، لیست سیاه و قرنطینه کردن، حوادث مشکوک را مورد تحقیق و کنترل قرار دهید.
- با ثبت مداوم فعالیت و بازیابی تخلیههای فرآیند نقطه پایانی، به تاریخ حمله دسترسی پیدا کنید.
- در حین تحقیق با جداسازی نقطه پایانی، نقاط نهایی بالقوه خطرناک را مهر و موم کنید.
- پروندههای مخرب و مصنوعات مرتبط را در همه نقاط انتهایی تحت تأثیر، حذف کرده و نقطه پایان را به حالت قبل از آلودگی باز میگرداند.
شرکت داده پایش کارن بعنوان ارائه دهنده محصولات سیمانتک، آمادگی ارائه خدمات و لایسنس نرم افزار Symantec EDR را دارا میباشد.
